Niezaufany certyfikat bezpieczeństwa w PWPW

Treść listu anonimowego czytelnika z 23. czerwca

Temat: Certyfikat Polskiej Wytwórni Papierów Wartościowych

Witam, Oczekuję na dowód rejestracyjny i kiedy dobiegł termin ważności pozwolenia czasowego, a do urzędu nie dotarł jeszcze dokument powiedziano mi, że mogę sprawdzić status mojego dokumentu na stronie internetowej PWPW SA.

Trafiłem na stronę http://www.pwpw.pl/Product?id=13 "Dokumenty Komunikacyjne", gdzie znajduje się odnośnik:
http://www.pojazd.pwpw.pl/
Po kliknięciu go przeglądarka informuje o problemie zabezpieczeń:

Opera:
***
Ostrzeżenie
Łańcuch certyfikatów tego serwera jest niekompletny, a wystawca jest niezarejestrowany. Zaakceptować?

cpdpub.pwpw.pl

Zabezpieczenia
Certyfikat dla "cpdpub.pwpw.pl" został podpisany przez nieznany ośrodek certyfikacji "Sigillum PCCE - CA". Weryfikacja ważności tego certyfikatu nie jest możliwa.
***
Protolół szyfrowania:256 bit AES (RSA/SHA)

Firefox:
***

Nie udało się nawiązać bezpiecznego połączenia

cpdpub.pwpw.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.

(Kod błędu: sec_error_unknown_issuer)

* Powodem tego może być nieprawidłowa konfiguracja serwera albo próba podania się za ten serwer przez podmiot nieuprawniony.

* Jeśli użytkownik łączył się wcześniej z tym serwerem, błąd może być tymczasowy – w tej sytuacji należy spróbować ponownie później.

***

Jeśli dobrze rozumiem, znaczy to, że szyfrowanie danych osobowych nie jest maksymalnie bezpieczne, a sieciowa tożsamość firmy, która wydaje Polakom wszystkie dokumenty nie jest potwierdzona.

Uważam to za żenujące. Nie dziwię się, że m. innymi polskie dowody należą do najczęściej podrabianych w Europie Zachodniej, jeśli firma ta nie potrafi poprawnie zaszyfrować i podpisać strony www.

Poniżej prezentujemy odpowiedź z 27. czerwca, którą przesłał Dziennikowi Internautów Arkadiusz Słodkowski - rzecznik prasowy Polskiej Wytwórni Papierów Wartościowych:

Znamy termin ważności certyfikatu dla serwera cpdpub.pwpw.pl i zaskoczyło mnie stwierdzenie o braku jego certyfikatu. Natychmiast to sprawdziłem.

fot. - ilustracja nr 1 - Termin ważności certyfikatu na stronie PWPW

Certyfikat jest ważny do 26.11.2008 roku (dowód: ilustracja nr 1 w załączniku).

Mogę się jednak domyślać, że zaniepokojenie redaktora Mugeńskiego jest spowodowane komunikatami wyświetlanymi przez przeglądarki stron www w przypadku wątpliwości co do wiarygodności certyfikatu wykorzystywanego do uwierzytelniania serwera przy transmisji szyfrowanej (protokół HTTPS).

W załączeniu przedstawiam kopie okien z ostrzeżeniami prezentowanymi przy próbie

fot. - ilustracja nr 2 - próba połączenia ze stroną PWPW: Firefox

fot. - ilustracja nr 3 - próba połączenia ze stroną PWPW: Internet Explorer

połączenia z naszą stroną przez najpopularniejsze aplikacje: Mozilla Firefox 2.x (ilustracja 2) i Microsoft Internet Explorer 7.x (ilustracja 3).

Obie przeglądarki informują, że ostrzeżenie może wynikać z tego, że przeglądarka nie rozpoznaje certyfikatu organu, który wystawił certyfikat dla serwera.

I taka jest rzeczywista przyczyna w tym przypadku.

Uruchamiając strony pojazd.pwpw.pl i kierowca.pwpw.pl zdecydowaliśmy się korzystać z usług naszego korporacyjnego centrum certyfikacji PCCE Sigillum.

fot. - ilustracja nr 4 - lista zaufanych głównych urzędów certyfikacji

Niestety PCCE Sigillum nie znajduje się na dostarczanej z przeglądarkami liście zaufanych głównych ani pośrednich urzędów certyfikacji (przykład na ilustracji 4).

Ponieważ obserwujemy rosnący trend ilości odwiedzin, mając na uwadze reakcje przeglądarek (spokój internautów), CP zwróciło się do Sigillum z pytaniem czy dodanie PCCE Sigillum do listy urzędów certyfikacji jest rozważane i w jakim terminie.

Oczekujemy na odpowiedź.

Od redakcji:

Sprawa zatem nie została w pełni rozwiązana. Pozostajemy w kontakcie z PWPW. Kiedy tylko otrzymamy kolejne informacje natychmiast podzielimy się nimi na łamach Dziennika Internautów.